
Oikeustoimet: uusi dynamiikka ryhmäkanteissa?
Oikeudellinen valvonta nro 53 – Marraskuu 2022
Oikeustoimet: uusi dynamiikka ryhmäkanteissa? Henkilötietojen suojaan liittyvät oikeussuojakeinot ovat edelleen harvinaisia Ranskassa ja Euroopassa.
Vaikka lehdistö raportoi säännöllisesti teknologiajättejä vastaan kohdistettavista pakotteista, nämä pakotteet ovat pääasiassa valvontaviranomaisten työtä.
Erityisesti yksityisyyden loukkausta koskevissa asioissa vahinkoja on usein vaikea arvioida oikeudenkäyntikustannusten vuoksi.
Tilanne saattaa muuttua pian, kun edustajakanteita koskeva direktiivi (EU) 2020/1828 saatetaan osaksi kansallista lainsäädäntöä.
Jäsenmailla on aikaa tämän vuoden joulukuun 25. päivään asti noudattaa tätä direktiiviä, jonka tarkoituksena on suojella kuluttajien yhteisiä etuja.
Ryhmäkanteita on jo olemassa Ranskassa, ja niiden soveltamisala on vähitellen laajentunut. Ryhmäkanteita on ollut olemassa 17. maaliskuuta 2014 säädetystä kuluttajansuojalain jälkeen.
Sitä laajennettiin vähitellen eri alueille, mukaan lukien henkilötiedot, 18. marraskuuta 2016 annetulla lailla, jolla luotiin uusi 43 ter artikla tietosuojalakiin.
Teksti kuitenkin rajoittaa oikeuden nostaa ryhmäkanne hyväksytyille kuluttajansuojayhdistyksille, yli viisi vuotta vanhoille yhdistyksille, joiden lakisääteinen tarkoitus on yksityisyyden suoja, sekä työntekijöitä tai virkamiehiä edustaville ammattijärjestöille.
Tämä lainsäädäntökehys ei mahdollistanut vahinkojen korvaamista asianomaisille henkilöille.
Tämä on nyt mahdollista 20. kesäkuuta 2018 säädetyn lain ansiosta, jolla tietosuojalaki mukautetaan GDPR:ään.
Ryhmäkanne mahdollistaa nyt aineellisten ja henkisten vahinkojen korvaamisen tuomioistuimessa.
GDPR sallii myös, että tällaiset oikeussuojakeinot voidaan saada valtuuttamalla elimiä, organisaatioita tai yhdistyksiä tekemään valitus heidän puolestaan valvontaviranomaiselle.
Ranska ei siis ole tällä hetkellä huonoimmassa asemassa edustuksellisten kanteiden suhteen, kuten esimerkiksi sellaisten organisaatioiden kuin La Quadrature du Netin toimet osoittavat, joka on erittäin aktiivinen tietosuojan alalla.
Muut maat menevät kuitenkin pidemmälle.
Ryhmäkanne Ranskassa perustuu ns. opt-in-periaatteeseen. ja siihen osallistuu vain henkilöitä, jotka nimenomaisesti liittyvät menettelyyn, toisin kuin "ryhmäkanne", joka lähtökohtaisesti kattaa kaikki henkilöt, jotka vastaavat asianomistajien profiilia, ja antaa heille mahdollisuuden vetäytyä menettelystä. Tällaisessa tapauksessa puhutaan "kieltäytymisestä".
Vaikka nämä kaksi menettelytyyppiä ovat Euroopassa edelleen suhteellisen harvinaisia, ryhmäkanne "opt-out"-menettelyn muodossa on vielä harvinaisempi.
Alankomaat sallii molemmat valitustyypit.
Kahden viime vuoden aikana sinne on perustettu useita säätiöitä ryhmäkanteiden nostamiseksi.
Nämä säätiöt ovat esimerkiksi hyökänneet Applen ja Googlen kilpailunvastaista toimintaa, TikTokin, Salesforcen ja Oraclen sekä Airbusin ja Airbnb:n tiedonkeruukäytäntöjä vastaan.
Se, että edustava organisaatio voi vaatia vahingonkorvauksia koko kantajaryhmän puolesta, elleivät he "kieltäydy" vaatimuksesta, muuttaa merkittävästi tietosuojaa koskevien ryhmäkanteiden sääntöjä, sillä yksittäiset vahingonkorvaukset ovat yleensä pieniä.
Tällaisten kanteiden taloudellisesti kannattava luonne on tehnyt Alankomaista johtavan eurooppalaisen oikeuspaikan ryhmäkanteiden käsittelyssä., ja tämän tyyppisen organisaation kolmannen osapuolen rahoitus on lisääntynyt.
Twitteriä vastaan on tänään nostettu kanne Alankomaissa käyttäjiensä seuraamisesta.
Sama pätee muihin suosittuihin sovelluksiin, kuten Shazamiin ja Vintediin, mutta myös herkempiin sovelluksiin, kuten Grindriin ja kuukautiskierron seurantasovelluksiin.
Euroopan unionin direktiivi sallii EU-maiden valita joko osallistumis- tai kieltäytymismallin, lukuun ottamatta kieltomääräystä, joka – loogisesti ajatellen – mahdollistaa osallistumismahdollisuuden.
On huomattava, että teksti antaa organisaatioille mahdollisuuden nostaa rajat ylittäviä kanteita ja antaa niille mahdollisuuden valita useiden lainkäyttöalueiden välillä. Kanne voidaan nostaa siinä jäsenvaltiossa, jossa vastaajayrityksellä on rekisteröity kotipaikka, mutta myös missä tahansa jäsenvaltiossa, jossa sillä on sivuliike, ja vahinkoa kärsineen henkilön kotipaikkavaltiossa.
Ranskan on siksi valmistauduttava käsittelemään yleiseurooppalaisia vetoomuksia.
Sen on myös mukautettava lainsäädäntöään "häviäjä maksaa" -periaate asianajajan palkkioiden ja oikeudenkäyntikulujen osalta ja säätää tiedonhankintamenettely, sellaisena kuin se on yleisen oikeuden maissa ja joka sallii tuomarin perustellulla päätöksellä riidan kannalta hyödyllisten asiakirjojen (kuten loukattujen osapuolten henkilöllisyyden) esittämisen.
Vaikka direktiivin soveltamisedellytykset selkeytyvät tulevina kuukausina, näyttää jo varmalta, että sillä on vaikutusta edustajakanteiden määrään Euroopassa.
Olisi hyvä valmistautua siihen ja seurata tarkasti sen täytäntöönpanoa Ranskassa.
Ja myös
Ranska:
CNIL on määrännyt DISCORD INC:lle 800 000 euron sakon. useiden GDPR-velvoitteiden laiminlyönnistä, erityisesti tietojen säilytysaikojen ja henkilötietojen turvallisuuden osalta.
CNIL korostaa myös oletusarvoisen tietosuojan puutetta: käyttäjille ei ilmoitettu, että heidän keskustelujaan voitiin edelleen kuulla, vaikka he luulivat poistuneensa äänikeskusteluhuoneesta.
Lopuksi yritystä kritisoitiin siitä, ettei se ollut tehnyt vaikutusanalyysia ennen käsittelyjen käyttöönottoa.
Komissio julkaisi myös 24. marraskuuta toimintasuunnitelman, jonka tarkoituksena on tukea mobiilisovellusten vaatimustenmukaisuutta ja suojella käyttäjien yksityisyyttä.
Se aikoo syventää asiantuntemustaan, tukea ammattilaisia ja tiedottaa kansalaisille esimerkiksi oppaiden ja suositusten muodossa.
Lopuksi se suorittaa kohdennettuja tarkastuksia ja ryhtyy tarvittaessa sortotoimiin organisaatioita vastaan, jotka eivät noudata velvoitteitaan.
Suuren valitusmäärän jälkeen CNIL on selventänyt edellytyksiä, joiden mukaisesti täydentävät sairausvakuutusorganisaatiot voivat kerätä terveystietoja.
Se toteaa, että sovellettavat tekstit eivät ole riittävän täsmällisiä, ja suosittelee lain säätämistä.
Paperisten kuittien käyttö loppuu 1. tammikuuta 2023.
Tämä "jätteen vastainen" toimenpide herättää kysymyksiä yksityisyyden suojasta, koska jälleenmyyjät pystyvät tunnistamaan koko asiakaskuntansa, mukaan lukien ne, joilla ei ole kanta-asiakaskorttia.
CNIL korosti raportissaan, että kuitin tai sähköisen maksun lähettämistä varten kerättyä sähköpostiosoitetta ei voida käyttää kaupallisiin tarkoituksiin, koska nämä kaksi tarkoitusta ovat varsin erillisiä.
On tärkeää saada rekisteröidyn suostumus tai, jos kyseessä on yrityksen jo tarjoamien tuotteiden tai palveluiden kaltaisten tuotteiden tai palveluiden etsintä, ilmoittaa hänelle käyttötarkoituksista ja mahdollisuudesta vastustaa tietojen keräämistä etukäteen.
Kassaatiotuomioistuin katsoi 7. marraskuuta antamassaan päätöksessä, että puhelimen aloitusnäytön lukituskoodi voi olla "salauksen purkuavain".
Jos on todennäköistä, että sitä on käytetty rikoksen tai rikkomuksen valmisteluun tai tekemiseen, sen haltijan on annettava tutkijoille aloitusnäytön lukituksen avauskoodi.
Jos hän kieltäytyy luovuttamasta tätä koodia, hän syyllistyy "kieltäytymiseen toimittamasta salaista salauksenpurkusopimusta", josta voidaan tuomita sakko ja vankeusrangaistus.
Eurooppa:
Digitaalisten palveluiden asetus (DSA) tuli voimaan 16. marraskuuta 2022.
Tämä asetus antaa digitaalisille alustoille uusia vastuita laittoman sisällön ja tuotteiden leviämisen rajoittamiseksi, alaikäisten suojelun parantamiseksi sekä käyttäjille enemmän valinnanvaraa ja parempaa tietoa tarjoamiseksi.
Euroopan tietosuojaneuvosto (EDPB) on julkaissut suosituksensa rekisterinpitäjiä koskeviin sitoviin yrityssääntöihin (BCR) sisällytettävistä hyväksymismenettelystä ja elementeistä.
Asiakirja on avoinna julkista kuulemista varten 10. tammikuuta 2023 asti.
Euroopan tietosuojavaltuutettu (EDPS) on julkaissut lausuntonsa ehdotetusta kyberturvallisuusasetuksesta.
Tekstin tavoitteena on määritellä EU:n laajuiset kyberturvallisuusvaatimukset monille laitteisto- ja ohjelmistotuotteille, kuten selaimille, käyttöjärjestelmille, palomuureille, verkonhallintajärjestelmille, älymittareille ja reitittimille.
Euroopan tietosuojavaltuutettu suosittelee, että tähän tekstiin sisällytetään sisäänrakennetun ja oletusarvoisen tietosuojan periaatteet.
Hän korosti myös, että eurooppalainen kyberturvallisuussertifikaatti ei voi korvata GDPR-sertifiointia.
Euroopan tietosuojavaltuutettu kommentoi myös ehdotusta asetukseksi mediapalveluiden yhteisen kehyksen luomisesta: Se korostaa 14. marraskuuta antamassaan lausunnossa toimittajien, heidän lähteidensä ja mediapalveluntarjoajiensa suojelemiseksi suunniteltujen toimenpiteiden riittämättömyyttä.
Se suosittelee sen selventämistä, että kaikki toimittajat hyötyisivät tästä suojasta, ja kehottaa kaventamaan entisestään poikkeuksia, jotka sallivat viestinnän sieppaamisen vakoiluohjelmilla tai muilla valvontakeinoilla.
Kahden vuoden Microsoftin kanssa käytyjen neuvottelujen jälkeen Saksan liittovaltion tietosuojaviranomaisen ja 16 osavaltion sääntelyviranomaisen yhteiskomitea on antanut lausunnon, jolla on todennäköisesti kauaskantoisia seurauksia: rekisterinpitäjät eivät voi tällä hetkellä laillisesti käyttää MS365:tä GDPR:n nojalla.
Alankomaiden tietosuojaviranomainen antoi 14. marraskuuta varoituksen hallitukselleen ja kehotti sitä olemaan käyttämättä amerikkalaisia pilvipalveluita. Hän kehottaa hallitusta turvautumaan eurooppalaisiin vaihtoehtoihin.
Unkarin tietosuojaviranomainen (DPA) on määrännyt sääennusteita tarjoavan verkkosivuston ylläpitäjän lopettamaan tietojen siirtämisen Yhdysvaltoihin Googlen kautta.
Tietosuojaviranomainen totesi, että verkkosivuston ylläpitäjä käytti Google Analyticsia toteuttamatta riittäviä suojatoimia Yhdysvaltoihin suuntautuville tiedonsiirroille.
Irlannin kansalaisvapausneuvosto huomautti 17. marraskuuta Euroopan komissiolle lähettämässään kirjeessä, että Meta rikkoi GDPR:ää eikä voinut noudattaa digitaalisten markkinoiden asetusta (DMA).
ICCL viittaa äskettäin julkistettuihin kalifornialaisiin oikeuden asiakirjoihin, joiden mukaan Meta ei vastannut tietopyyntöön 149:stä sen tietojenkäsittelyjärjestelmästä, mikä viittaa siihen, että näiden järjestelmien toiminta ei ollut ihmisille ymmärrettävää.
Irlannin tietosuojavaltuutettu antoi 25. marraskuuta päätöksensä Facebookin tietojen kaapimista koskevassa tutkinnassa, joka koskee yli 530 miljoonan käyttäjän henkilötietojen saatavuutta verkossa.
Kyseiset periaatteet koskivat GDPR:n mukaista sisäänrakennettua ja oletusarvoista tietosuojaa.
Päätöksellä määrätään yhteensä 265 miljoonan euron hallinnolliset sakot ja korjaavia toimenpiteitä.
Metaa vastaan on käynnissä kolme muuta GDPR-rikkomusmenettelyä Euroopassa.
Nämä koskevat Facebookin, mutta myös Instagramin ja WhatsAppin yleisiä ehtoja.
Euroopan tietosuojaneuvoston havaintojen jälkimmäisestä odotetaan julkaistavan 5. joulukuuta, ja niitä odotetaan innolla.
Ne koskevat sosiaalisen median käyttäjiltä kerättävien tietojen oikeusperustaa.
Meta on muuttanut tätä oikeusperustaa suostumuksesta sopimuksen mukaisen käsittelyn välttämättömyyteen, millä on oikeudellisia seurauksia, jotka tietosuojaviranomaisten hyväksynnän tapauksessa ulottuisivat paljon tämän tapauksen asiayhteyttä pidemmälle.
Tietosuojavaltuutetun toimisto julkaisi päivityksen kansainvälisiä tiedonsiirtoja koskeviin ohjeisiinsa 17. marraskuuta.
Tämä päivitys sisältää uuden osion siirtoriskin arvioinneista (TRA) ja työkalun valvojille.
Iso-Britannia on tehnyt Korean kanssa sopimuksen henkilötietojen siirrosta, joka tulee voimaan 19. joulukuuta.
Sen mukaan sen sopimus on "laajempi" kuin EU:n sopimus ja sallii yritysten siirtää luottotietoihin liittyviä tietoja.
Kansainvälinen:
Google on suostunut maksamaan ennätykselliset 391,5 miljoonaa dollaria korvauksena yksityisyydensuojan rikkomisesta 40 Yhdysvaltain osavaltiossa.
Tapaus koskee yrityksen maantieteellisen sijainnin paikannuksen käytäntöjä: oikeusministerien mukaan käyttäjiä johdettiin harhaan maantieteellisen sijainnin deaktivoinnin ehdoista heidän tiliasetuksissaan.
Euroopan tietosuojaviranomaiset ovat varoittaneet, että Qatarin viranomaisten maahantuloa varten asettamat kaksi sovellusta, Ehteraz ja Hayya, aiheuttavat mittavia yksityisyyden loukkauksia. sallimalla laajan pääsyn käyttäjätietoihin, mukaan lukien sijaintitiedot ja puhelutiedot.
CNIL on suositellut, että Qatariin matkustavat käyttävät tyhjää tai nollattua puhelinta.
Lokakuussa 2020 luotu maailmanlaajuinen yksityisyyden suoja on nyt kasvamassa, koska suuret julkaisijat ja verkkopohjaiset suostumusten hallintajärjestelmät ovat ottaneet sen käyttöön.
GPC antaa käyttäjille mahdollisuuden kieltäytyä henkilötietojen myynnistä selaintasolla yhdellä napsautuksella kaikilla tai joillakin verkkosivustoilla.
Toisin kuin kieltäytymiskäsittelijät, jotka usein lataavat sisältöä ja alkavat kerätä tietoja ennen kuin käyttäjällä on mahdollisuus kieltäytyä, GPC kunnioittaa käyttäjän valintaa ennen sivuston latautumista.
Anne Christine Lacoste
Olivier Weber Avocatin osakas Anne Christine Lacoste on tietosuojalainsäädäntöön erikoistunut lakimies. Hän toimi Euroopan tietosuojavaltuutetun kansainvälisten suhteiden päällikkönä ja työskenteli GDPR:n täytäntöönpanon parissa Euroopan unionissa.